kosta88 2 Geschrieben 16. Dezember 2015 Melden Geschrieben 16. Dezember 2015 (bearbeitet) Hallo, Ich habe bei mir folgende "Konstruktion": - WinSRV2008R2, Domänen-Administrator aktiv - eine Gruppe LokaleAdmins, diese ist Mitglied von der Gruppe "Administratoren" (und nicht von der Gruppe Domänen-Admins) - gewisse Benutzer werden Mitglieder der Gruppe LokaleAdmins Mein Vorhaben ist folgendes: - ich möchte den (gewissen) Benutzern auf einen "Schlag" die lokalen Berechtigungen für die Installationen auf den Rechnern erteilen (ergo die Gruppe oben) - die Benutzer bleiben i.d.R. auf den selben Rechner und sind dafür "verantwortlich" - aber, ich möchte auch, wenn erwünscht, dass sich die Mitarbeiter auch auf einem anderen Rechner anmelden können Wenn ich lokale Admin-Rechte vergebe, offensichtlich dürfen sich diese Benutzer auch auf die Server einloggen Wie kann ich das unterbinden? Die erste Idee die ich hatte war über "Anmelden an...", nur ich kann keine Computer-Gruppen erstellen, und einzelne Zuweisung ist recht mühsam abgesehen davon dass ich jeden Rechner händisch eintragen muss... Wichtig ist bei der Struktur den Administrations-Aufwand soweit wie möglich zu reduzieren, aber immernoch gewisse Sicherheit zu haben (vor allem davor, dass die Benutzer auf dem HV/DC kommen können). Danke! LG Kosta bearbeitet 16. Dezember 2015 von kosta88
zahni 587 Geschrieben 16. Dezember 2015 Melden Geschrieben 16. Dezember 2015 Es gibt die Computer-Lokale Gruppe "Administratoren". Da müssen die Domänen-User entweder direkt oder über eine Domänen-Gruppe rein. Allerdings drehen sich mir bei einem solchen Vorhaben die Fußnägel hoch. Den Administrationsaufwand wirst Du damit nicht reduzieren. Eher im Gegenteil.
NorbertFe 2.283 Geschrieben 16. Dezember 2015 Melden Geschrieben 16. Dezember 2015 (bearbeitet) Gib den Usern keine Rechte auf dem Server. Der ja offensichtlich sogar DC ist. Warum packst du also User in die Domänen-Gruppe "Administratoren"? Ist dir klar, wozu diese Gruppe ist und warum sie existiert? Bye Norbert bearbeitet 16. Dezember 2015 von NorbertFe
lefg 276 Geschrieben 16. Dezember 2015 Melden Geschrieben 16. Dezember 2015 (bearbeitet) Moin, das Stichwort für Google oder die Suchfunktion hier am Board ist wohl Eingeschränkte Gruppen. bearbeitet 16. Dezember 2015 von lefg
kosta88 2 Geschrieben 16. Dezember 2015 Autor Melden Geschrieben 16. Dezember 2015 (bearbeitet) Norbert, Wenn du schon so fragst, habe ich natürlich gegoogelt... und da sehe ich schon die Antwort. Ich habe bisher offensichtlich nicht gewusst, bzw. falsch gewusst, was diese Gruppe tut. Vor einiger Zeit habe ich gesucht nach einer Möglichkeit Zentral allen Benutzern die lokalen Rechte auf der bestimmten Maschine zu geben, um Installationen wie Java/Flash/WU selber zu machen. Ich habe keine Zeit für sowas. Wie es sich jetzt herausstellt, wenn der Benutzer Mitglied der Gruppe Administratoren, hat er praktisch höheren Rechte als ein Domänen-Admin (er ist Admin für alle Domänen Controller). Ups... Lefg, Danke, werde ich mehr darüber lesen. Ich sehe nach einer schnellen Suche dass schon was "dahinter" ist... bearbeitet 16. Dezember 2015 von kosta88
NorbertFe 2.283 Geschrieben 16. Dezember 2015 Melden Geschrieben 16. Dezember 2015 Nein er hat keine höheren Rechte als ein Dom-Admin. Aber naja. Wenn du Flash usw. verteilen willst, schau dir lieber WSUS und WPP an, anstatt Usern deine Aufgaben überzuhelfen und zu hoffen, dass das funktionieren könnte. Bye Norbert
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden